CVE-2024-53691
QTS, QuTS hero
Em resumo
Uma vulnerabilidade em sistemas operacionais QNAP permite que invasores com acesso de usuário sigam links simbólicos para acessar arquivos em locais não autorizados. Isso pode levar ao acesso não autorizado a dados ou arquivos críticos do sistema.
Detalhe técnico
Uma vulnerabilidade de seguimento de links (CWE-59) afetando QNAP QTS e QuTS hero permite que invasores autenticados contornem restrições de diretório explorando validação inadequada de alvo de links simbólicos. A exploração requer acesso prévio em nível de usuário e pode resultar em acesso a arquivos arbitrários com privilégios do processo afetado.
Resumo gerado e traduzido por IA a partir da descrição oficial.
A link following vulnerability has been reported to affect several QNAP operating system versions. If exploited, the vulnerability could allow remote attackers who have gained user access to traverse the file system to unintended locations.
We have already fixed the vulnerability in the following versions:
QTS 5.1.8.2823 build 20240712 and later
QTS 5.2.0.2802 build 20240620 and later
QuTS hero h5.1.8.2823 build 20240712 and later
QuTS hero h5.2.0.2802 build 20240620 and later
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →